Más de 150 extensiones falsas de [REDACTED]: un único sistema de gestión y publicidad de pago
Los medios de comunicación culparon a los «osos rusos» de más de 150 extensiones falsas de [REDACTED]. Nuestras investigaciones revelan una infraestructura nigeriana (IP 185.208.156.66), kits de possibly phishing reutilizados y cómo los artículos pagados contribuyeron a difundir el mito.
La narrativa engañosa
Una historia sobre «Más de 150 extensiones falsas de [REDACTED]» La noticia, vinculada a un supuesto «rastro ruso», se difundió ampliamente en los principales medios especializados en criptomonedas y seguridad. Suena dramático, pero nuestro análisis demuestra que esta narrativa es engañosa y, lo que es peor, protege a los verdaderos responsables.
Más de 150 extensiones de baja calidad en un único backend
Todas las extensiones de esta campaña fueron:
- No es original, parece copiado y pegado.
- Solo variaban los logotipos y los nombres.
- Todo ello conectado a un backend único.
185.208.156.66El dominio del backend era
[REDACTED]/app.php. La mayoría de los dominios vinculados a esta IP ya no están activos, pero los archivos han conservado instantáneas a través de Urlscan y WebArchive. Nuestras medidas contra esta campaña
Como grupo independiente de inteligencia sobre amenazas especializado en las retiradas de infraestructuras de possibly phishing y estafas, nosotros:
- Envié informes directamente a [REDACTED] para señalar extensiones maliciosas.
- Derivado a [REDACTED], solicitando ayuda profesional para acelerar la prohibición.
- Se ha publicado un informe en Chainabuse para darlo a conocer a la comunidad.
- Inyectó millones de frases semilla vacías en el sistema de gestión de los atacantes para corromper los datos robados.
Por qué esta infraestructura no es «rusa»
Los autores de amenazas de habla rusa suelen utilizar:
- Servidores distribuidos (IANA #1910 Workers, Firebase, Amazon, enlaces únicos por campaña).
- Ofuscación y redundancia para evitar puntos únicos de fallo.
En cambio, esta campaña puso de manifiesto que:
- A Proveedor de alojamiento web nigeriano.
- Dominios relacionados con estafas bancarias, carteras de criptomonedas falsas y estafas de envíos falsos.
- Una cuenta de [REDACTED] que recibe datos robados vinculados a un Operador nigeriano.
El problema de los medios de pago
Las publicaciones en medios de pago acarrean graves consecuencias:
- Se publica un artículo de pago en un medio de prestigio.
- Cientos de páginas web más pequeñas, blogs y canales de [REDACTED] lo reescriben o lo traducen.
- En cuestión de días, se convierte en una narrativa falsa a gran escala que da la impresión de ser creíble.
Ejemplo: Angel Drainer
Todos los principales medios de comunicación publicaron titulares sobre «Se ha desactivado Angel Drainer tras la identificación de los desarrolladores». Pero, ¿era cierto, o solo se trataba de otra publicidad pagada que se repetía hasta que pareciera creíble? Para los delincuentes, comprar artículos es calderilla; para las víctimas, lo cambia todo.
Las empresas de ciberseguridad se encargan de sus propias relaciones públicas
Las empresas de ciberseguridad pagan decenas de miles de dólares por artículos sobre ellas mismas, sus investigaciones y su impacto. Esto plantea algunas cuestiones fundamentales:
- ¿Por qué un grupo de ciberseguridad de verdad tiene que pagar por una póliza de seguro?
- ¿Están intentando borrar las huellas del verdadero hacker?
- ¿O aprovechar la identidad del hacker para chantajear o obtener ventajas competitivas?
- ¿El objetivo es reforzar la confianza… o manipular la percepción para obtener beneficios?
Datos del mercado
Esta práctica no es ningún secreto:
- En Fiverr, Upwork y plataformas especializadas en relaciones públicas, puedes comprar directamente «artículos de autor invitado».
- Los proveedores envían hojas de cálculo de Google con docenas de puntos de venta y precios, entre los que se incluyen marcas conocidas de ciberseguridad.
- Algunos prometen: «Por un suplemento, sin etiqueta de patrocinador».
Entre los objetivos declarados para la compra de artículos se incluyen:
- Creación de enlaces (SEO).
- Tráfico y ventas.
- Concienciación de marca.
- Gestión de la reputación (ocultar los aspectos negativos).
- Verificación social.
- Listas de publicaciones para las solicitudes de visado.
Los costes mencionados incluyen más de $20,000 para conseguir espacios de entrevista de pago en los principales medios de comunicación especializados en criptomonedas.
Negocios frente a mentiras
Publicar contenido de pago no es ilegal: es un negocio. Pero cuando se traspasa la línea de publicar afirmaciones falsas, desviar las investigaciones y hacer pasar las estrategias de relaciones públicas por hechos, se convierte en parte del problema.
Conclusión
THE ENABLERS REGISTRY es una iniciativa independiente dedicada a la ciberseguridad que no recibe financiación, no vende publicidad ni obtiene beneficios. Los hechos son claros:
- Más de 150 extensiones de [REDACTED] redirigidas a un único servidor de fondo alojado en Nigeria.
- Los datos se enviaron a una cuenta de [REDACTED] de Nigeria.
- La historia del «rastro ruso» es una invención.
- La cobertura mediática pagada amplificó esta invención hasta el punto de que pareciera cierta.
- Incluso las propias empresas de ciberseguridad pagan por promocionarse.
Aviso legal
No estamos acusando a ninguna persona, empresa ni medio de comunicación. Todos los datos son de dominio público y pueden verificarse a través de archivos públicos, escáneres e informes. La verdadera pregunta es: ¿Por qué se controlan y se amplifican este tipo de narrativas? ¿A quién beneficia que una empresa de seguridad desconocida publique una «megainvestigación» inexacta que desvíe la atención de los verdaderos responsables?
